Рекомендации системным администраторам, ответственным за настройки DNS-серверов

В Службу «KZ-CERT» периодически поступают обращения о зарегистрированных DDoS-атаках типа «усиление» (amplification) с использованием сервиса DNS с IP адресов, скомпрометированных злоумышленниками. Причиной тому является отсутствие элементарного мониторинга DNS-серверов и сетевой инфраструктуры на актуальность программного обеспечения, настроек сети, а также отсутствие средств защиты от внешних атак.

Проще говоря, злоумышленники используют ваши IP-адреса как «передатчик» для осуществления DDoS-атак типа DNS-amplification. И все потому, что настройки DNS-серверов не поддерживаются в актуальном состоянии.

Уменьшить количество DDoS-атак типа DNS-amplification и минимизировать участие своего инфраструктурного сегмента можно с помощью следующих действий, не требующих дополнительных материальных затрат:
1. Проводить периодически аудит DNS;
2. Поддерживать актуальную версию программного обеспечения DNS-серверов;
3. Скрыть версию DNS-сервера для того, чтобы злоумышленник не смог легко получить информацию о версии вашего сервера;
4. Применять в сети оборудование с функциями IPS, IDS, AntiDDoS, что также усилит защиту от атак.
5. Отключить неиспользуемые сервисы на всех серверах.
6. Ограничить рекурсивную обработку запросов только для клиентов предоставляемого сервиса.
7. Перейти на TCP в соответствии с рекомендациями RFC5966.

И, если так поступит каждый администратор серверов, доступных из сети Интернет, цифровой мир приблизится еще на один шаг к совершенству.

Ну и рекомендации о том, что делать, если ваш DNS-сервер все же скомпрометирован?

1. Обновить программное обеспечение DNS-серверов;
2. Включить фильтрацию на сетевом оборудовании;
3. Произвести перенастройку DNS-серверов для исключения дальнейшей их компрометации в DDoS-атаках.

В случае если при всех этих действиях у вас не получилось устранить возникшие проблемы c DNS или сетевыми атаками, вы всегда можете обратиться в Службу «KZ-CERT» по номеру 1400, в чате Telegram - @kzcert, направить письмо на почту info@kz-cert.kz, incident@kz-cert.kz.